新型网络攻击：SwiftSlicer 针对乌克兰的行动

重点摘要

• 攻击时间 ：2023年1月25日
• 攻击方 ：被指控的 SandWorm
• 攻击类型 ：名为 SwiftSlicer 的清除型恶意软件
• 发现机构 ：斯洛伐克网络安全公司 ESET
• 编程语言 ：Go
• 攻击影响 ：删除影子公司的文件，并对系统驱动器及非系统驱动器中的文件进行递归覆盖

最近，一场新的网络攻击被归因于 SandWorm，攻击目标是乌克兰。这次攻击被称为 SwiftSlicer，由斯洛伐克网络安全公司 ESET发现。该攻击利用 Active Directory 组策略，且采用 Go 编程语言编写。

一旦被部署，SwiftSlicer 会删除影子公司，并在重启计算机之前递归地覆盖位于系统驱动器和其他非系统驱动器的文件。ESET研究人员在推特上解释说，恶意软件通过使用 4096 字节长度的块，填充随机生成的字节来覆盖驱动器。

ESET 的。

ESET 的威胁研究总监 Jean-Ian Boutin 告诉 SC Media，SwiftSlicer 恶意软件只在乌克兰被发现。Boutin进一步指出，“新发现的 Sandworm 活动与之前的活动一致，因为 Sandworm 在乌克兰的操作中大量使用不同类型的清除型恶意软件。”

清除型恶意软件的影响

自 2022 年 1月以来，清除型恶意软件变种在针对乌克兰的攻击中扮演了重要角色。在一种针对乌克兰多行业的毁灭性清除型恶意软件变种，该恶意软件模仿了勒索软件的外观，但没有任何赎金恢复的功能。

无论是在乌克兰入侵之前，还是之后，由俄罗斯国家支持的威胁组织 Sandworm 在多个领域造成了严重破坏。该组织与 2017 年针对健康行业的臭名昭著的 NotPetya 网络攻击，以及 2015 和 2016 年发起的乌克兰电网攻击有关联。

自 2022 年初以来，该组织积极针对众多乌克兰机构。最近的检测出现在 11 月，ESET 研究将新出现的 .NET 基础 RansomBoggs勒索软件变种与 Sandworm 相关联，这显示该组织在战术和传播方式上的一致性。

11 月的攻击活动利用 PowerShell 脚本来分发勒索软件，其过程与 2022 年 4 月的 Industroyer2 恶意软件攻击几乎一致。POWERGAP PowerShell 脚本在此次攻击中被施用，使 CaddyWiper 恶意软件能够通过 ArguePatch 加载器进行传递。

Sandworm 的行动还与俄罗斯支持的 Iridium 有关联，后者可能实施了针对乌克兰和波兰的运输及物流组织的 Prestige勒索软件攻击。这两个组织在乌克兰战争期间保持活跃，并与自冲突开始以来的多起破坏性攻击有关联。

尽管俄罗斯在去年的 2 月，，旨在支援军事通信能力，但。然而，俄罗斯始终以破坏性攻击和情报收集的方式保持着持续的存在。